Nach der Darstellung von CERT-EU begann der Angriff am 10. März: TeamPCP nutzte einen kompromittierten API-Schlüssel von Amazon Web Services, der Verwaltungsrechte über weitere AWS-Konten der Europäischen Kommission besaß. Der Schlüssel war zuvor im Rahmen des Lieferketten-Angriffs auf Trivy entwendet worden. Damit verschafften sich die Angreifer Zugang zur Amazon-Cloud-Umgebung der Kommission.

Im nächsten Schritt setzten sie TruffleHog ein, ein Werkzeug zum Aufspüren und Prüfen von Cloud-Zugangsdaten, um nach weiteren Geheimnissen zu suchen. Anschließend hängten sie einen neu erstellten Zugriffsschlüssel an ein bestehendes Benutzerkonto an, um einer Entdeckung zu entgehen, führten weitere Erkundungen durch und entwendeten Daten.

TeamPCP wird mit Lieferketten-Angriffen auf mehrere Plattformen für Entwicklercode in Verbindung gebracht, darunter GitHub, PyPi, NPM und Docker. Die Gruppe kompromittierte zudem das LiteLLM-PyPI-Paket; bei diesem Angriff waren über die Schadsoftware “TeamPCP Cloud Stealer” zur Datenausspähung Zehntausende Geräte betroffen.

Am 28. März veröffentlichte die Erpressergruppe ShinyHunters den erbeuteten Datensatz auf ihrer Leak-Seite im Darknet – ein 90 GB großes Archiv (etwa 340 GB unkomprimiert) mit Namen, E-Mail-Adressen und E-Mail-Inhalten.

Die Analyse von CERT-EU bestätigte, dass die Angreifer Zehntausende Dateien mit personenbezogenen Informationen, Benutzernamen, E-Mail-Adressen und E-Mail-Inhalten entwendeten. Die exfiltrierten Daten betreffen Websites, die für bis zu 71 Kunden des Web-Hosting-Dienstes Europa gehostet werden: 42 interne Kunden der Europäischen Kommission und mindestens 29 weitere EU-Einrichtungen, die den Web-Hosting-Dienst europa.eu nutzen.

Laut CERT-EU enthält der Datensatz Listen von Vor- und Nachnamen, Benutzernamen sowie E-Mail-Adressen, überwiegend von Websites der Kommission, möglicherweise aber auch von Nutzern mehrerer EU-Einrichtungen. Hinzu kommen mindestens 51.992 Dateien zu ausgehender E-Mail-Kommunikation mit einem Umfang von 2,22 GB. Bei den meisten handelt es sich um automatisierte Benachrichtigungen mit wenig oder keinem Inhalt. Sogenannte “Bounce-Back”-Benachrichtigungen – Antworten auf eingehende Nachrichten von Nutzern – könnten jedoch ursprünglich übermittelte Inhalte enthalten und so personenbezogene Daten offenlegen.

CERT-EU betonte, dass im Zuge des Vorfalls keine Websites offline genommen oder manipuliert wurden und keine seitliche Bewegung zu anderen AWS-Konten der Kommission festgestellt worden sei. Die Auswertung dauert noch an und wird voraussichtlich erhebliche Zeit beanspruchen.

Bereits zuvor hatte die Europäische Kommission im Februar einen weiteren Datenvorfall gemeldet, nachdem eine Plattform zur Verwaltung von Mitarbeitergeräten kompromittiert worden war.